Share via

Microsoft Fabric 的客戶加密箱

  • 發行項

使用 適用於 Microsoft Azure 的客戶加密箱來控制 Microsoft 工程師如何存取您的數據。 在本文中,您將了解客戶加密箱要求如何起始、追蹤及儲存,以供稍後檢閱和稽核使用。

一般而言,客戶加密箱可用來協助 Microsoft 工程師針對 Microsoft Fabric 服務支援要求進行疑難解答。 當 Microsoft 識別問題時,也可以使用客戶加密箱,並開啟 Microsoft 起始的事件來調查問題。

啟用 Microsoft Fabric 的客戶加密箱

若要啟用 Microsoft Fabric 的客戶加密箱,您必須是 Microsoft Entra Global 管理員 istrator。 若要在 Microsoft Entra 識別符中指派角色,請參閱 將 Microsoft Entra 角色指派給使用者

  1. 開啟 Azure 入口網站。

  2. 移至 Microsoft Azure 的客戶加密箱。

  3. 在 [管理員 istration] 索引標籤中,選取 [已啟用]。

    在 [適用於 Microsoft Azure 的客戶加密箱] 索引標籤中啟用 Microsoft Azure 客戶加密箱的螢幕快照。

Microsoft 存取要求

如果 Microsoft 工程師無法使用標準工具對問題進行疑難解答,則會使用 Just-In-Time (JIT) 存取服務要求提高的許可權。 要求可能來自原始支持工程師,或來自不同的工程師。

提交存取要求之後,JIT 服務會評估要求,並考慮下列因素:

  • 資源的範圍

  • 要求者是隔離的身分識別或使用多重要素驗證

  • 許可權層級

根據 JIT 角色,要求也可能包含來自內部 Microsoft 核准者的核准。 例如,核准者可能是客戶支持潛在客戶或 DevOps Manager。

當要求需要直接存取客戶資料時,便會起始客戶加密箱要求。 例如,在需要對客戶虛擬機進行遠端桌面存取的情況下。 一旦提出客戶加密箱要求,就會在授與存取權之前等候客戶的核准。

這些步驟描述 Microsoft Fabric 服務的 Microsoft 起始客戶加密箱要求。

  1. Microsoft Entra Global 管理員 istrator 會收到來自 Microsoft 的擱置存取要求通知電子郵件。 收到電子郵件的系統管理員會成為指定的核准者。

    Microsoft 擱置存取要求通知電子郵件的螢幕快照。

  2. 電子郵件提供 Azure 管理員 istration 模組中客戶加密箱的連結。 使用連結時,指定的核准者會登入 Azure 入口網站,以檢視任何擱置中的客戶加密箱要求。 要求會保留在客戶佇列中四天。 之後,存取要求會自動到期,且不會授與 Microsoft 工程師的存取權。

  3. 若要取得擱置要求的詳細數據,指定的核准者可以從 [擱置要求] 功能表選項中選取 [客戶加密箱要求]。

  4. 檢閱要求之後,指定的核准者會輸入理由,然後選取下列其中一個選項。 為了進行稽核,動作會記錄在客戶加密箱 記錄中。

    • 核准 - 存取權會授與 Microsoft 工程師 8 小時的默認期間。

    • 拒絕 - Microsoft 工程師的存取要求遭到拒絕,不會採取進一步的動作。

    Microsoft Azure 要求之擱置客戶加密箱的核准和拒絕按鈕螢幕快照。

記錄

客戶加密箱有兩種類型的記錄:

  • 活動記錄 - 可從 Azure 監視器活動記錄取得。

    下列活動記錄適用於客戶加密箱:

    • 拒絕加密箱要求
    • 建立加密箱要求
    • 核准加密箱要求
    • 加密箱要求到期

    若要存取活動記錄,請在 [Azure 入口網站] 中選取 [活動記錄]。 您可以篩選特定動作的結果。

    Microsoft Azure 客戶加密箱中活動記錄的螢幕快照。

  • 稽核記錄 - 可從 Microsoft Purview 合規性入口網站 取得。 您可以在管理入口網站中看到稽核記錄。

    適用於 Microsoft Fabric 的客戶加密箱有四 個稽核記錄

    稽核記錄 易記名稱
    GetRefreshHistoryViaLockbox 透過加密箱取得重新整理歷程記錄
    Delete 管理員 UsageDashboardsViaLockbox 透過加密箱刪除系統管理員使用儀錶板
    DeleteUsageMetricsv2PackageViaLockbox 透過加密箱刪除使用計量 v2 套件
    Delete 管理員 MonitoringFolderViaLockbox 透過加密箱刪除系統管理員監視資料夾

排除

下列工程支援案例不會觸發客戶加密箱要求:

  • 超出標準作業程序的緊急案例。 例如,主要服務中斷需要立即注意在非預期的案例中復原或還原服務。 這些事件很少見,通常不需要存取客戶數據。

  • Microsoft 工程師會存取 Azure 平台作為疑難解答的一部分,而且不小心公開給客戶數據。 例如,在針對 Azure 網路小組進行疑難解答期間,會擷取網路裝置上的封包。 這類案例通常不會導致存取有意義的客戶數據。

  • 外部法律對數據的需求。 如需詳細資訊,請參閱 Microsoft 信任中心上的政府數據 要求。

資料存取

數據存取會根據您要求的 Microsoft Fabric 體驗而有所不同。 本節列出在您核准客戶加密箱要求之後,Microsoft 工程師可以存取哪些數據。

  • Power BI - 執行下列作業時,Microsoft 工程師將可以存取連結至您要求的幾個數據表。 Microsoft 工程師使用的每個作業都會反映在稽核記錄中。

    • 取得重新整理歷程記錄
    • 刪除系統管理員使用方式儀錶板
    • 刪除使用計量 v2 套件
    • 刪除系統管理員監視資料夾

  • 即時智慧 - 實時智慧 工程師將可存取連結至您要求的 KQL 資料庫中的數據。

  • 資料工程師 - 資料工程師 工程師將可以存取連結至您要求的下列 Spark 記錄:

    • 驅動程式記錄
    • 事件記錄檔
    • 執行程式記錄

  • Data Factory - 如果授與許可權,Data Factory 工程師將有權存取連結至您要求的數據管線定義。

相關內容